Blog / Technical SEO / SSL/ TLS 错误及其修复方法

SSL/TLS 错误及其修复方法

SE Ranking的SEO和内容营销专家,专攻AI Overviews,链接建设,Looker Studio报告,以及其他SEO相关话题.

SE Ranking的SEO专家. Valerii对Google的算法有顶尖的理解,专门从事专业页面优化.

总结此博客文章:

技术性的SEO是所有其他优化努力的基础,一个存在安全缺陷的网站不太可能吸引访问者参与或进入SERP的顶端.

由于我们已经讨论过迁移到 HTTPS 的重要性, 让我们去探索SSL/TLS 证书, 本指南解释什么是SSL/TLS错误,并提供解决每个错误的步骤.

SE Ranking的下载AI概览研究

并加入SE Ranking的新闻和SEO提示摘要。

你们都准备好了!

点击我们在电子邮件中发送的链接确认您的电子邮件

并获得由SE Ranking撰写的AI概览研究

• SSL/TLS基础

SSL及其后继者TLS是加密技术,可以保证用户浏览器和网站之间的数据传输安全. TLS是不断更新的标准,建议使用最新版本.

• 对机会均等组织的影响

自2014年以来,HTTPS(由SSL/TLS担保)一直是Google排名因素,强调了SSL/TLS对安全和SEO的重要性. SSL/TLS问题可能使网站无法访问,风险数据暴露,并且由于浏览器安全警告而阻遏访问者.

*常见的SSL/TLS错误

常见的问题包括过期,不活动,撤销,或不信任的证书,过时的协议,名称不匹配,加密算法薄弱,以及一般的SSL/TLS错误. 每一个都会导致连接失败,安全警告或数据违反.

• 维持SSL/TLS的安全

定期的证书监测,选择可靠的证书管理权限,使用自动化工具(如Let's Encrypt),并启用最新的TLS协议帮助防止常见的SSL/TLS问题.

• 特定错误的校正

解决方案从快速更新证书到使用第三方工具进行SSL/TLS验证,调整协议和密码兼容性的服务器配置,以及验证客户端设备上的系统时钟.

SSL/TLS是怎样的?

一个SSL(Secure Sockets Layer)确保信息安全穿越网络,TLS(运输层安全)是SSL的更新版本. 两者都代表了一种标准加密技术,在用户浏览器和网站之间保护信息. SSL于1995年推出,1999年升级为TLS,以满足对敏感数据保护日益增长的需求.

SSL/TLS术语与HTTPS(Hypertext Transfer Protocol Security):HTTPS连接是指网站通过SSL或TLS技术传输数据.

协议不断更新,使以前的所有版本都贬值。 关键是最好使用最新版本的TLS,

SSL/TLS 如何影响您的网站排名

Google将用户安全列为最优先的事项,

不要低估安全协议和加密的重要性。 任何脆弱性都可能暴露用户数据,发布SSL/TLS证书可能导致网站无法访问,浏览器显示的安全警告可能会吓跑潜在的访客。

2017年,Google Chrome开始在非HTTPS页面上显示“不安全”警告,要求获得敏感信息(信用卡细节或密码),一年后,Google开始将所有没有切换到安全协议的网站标注为“不安全 ” 。 现在,HTTPS页面占Chrome浏览时间的93%以上.

大多数流行浏览器在挂锁图标的帮助下标记不可靠的网页.

根据SSL Pulse,34%的网站缺乏足够的安全. 无论是由于证书链的不完整还是密码的薄弱,这一令人震惊的统计数据凸显了确保适当的SSL协议配置的至关重要性.

因此,使用SSL/TLS加密SEO的主要好处可以突出如下:

Stronger security:SSL/TLS加密客户端和服务器之间的数据,对保护敏感信息,尤其是电子商务网站的敏感信息至关重要.
* ** 过时用户信任: 挂锁图标和“https”向用户保证网站是安全的,鼓励他们购买或分享个人信息。
* ** 更快的装载时间: 加密连接往往更快,增强了用户体验.
* ** 排名更好: 最后,Google倾向于安全网站,因此使用SSL/TLS可以提供比非安全网站稍有排名的推动.

让我们让加密的执行主任解释一下SSL/TLS采用率低的原因, 但也有类似Lets Encrypt的解决方案, 使用各种有用的工具,

SSL/TLS 错误的类型以及如何纠正它们

当您意识到正确加密的重要性并拥有 SSL/TLS 证书时, 定期扫描您的网站, 以了解主要 SSL/ TLS 漏洞 。 您可以使用 SE Ranking 工具进行 SEO 审核,从而快速完成这项工作。

在左手导航栏中打开网站审核, 到 Security_区域 _ Isue Report tab 中:

为了进行更详细的现场检查,请使用我们的网站审计核对表。 包括你需要做的所有基本检查

让我们开始分析各种SSL/TLS问题,

1. 过期的网站安全证书

任何SSL/TLS证书的有效期都有限,而且由于安全方面的关切不断增加,多年来不断缩减。 有效期缩短至2011年的5年,2015年为3年,2018年为2年,2020年为13个月. 从2024年开始,新的证书有效期只有90天.

证书过期信息对浏览器中的任何人开放 :

您的 SSL/ TLS 证书过期时会发生什么 ? 您的网站变得无法访问,试图访问的用户会在浏览器中获取错误信息. 这将推动游客采取U -turn, 你的生意可以面对交通,收入和名誉损失。

如何处理过期的网站安全证书问题

为了避免这种情况,确保监控到期日并及时更新证书. 有诸如Lets Encrypt 或 AWS 证书管理器等自动解决方案帮助跟踪您的 SSL/TLS 证书,也有像 Sematext 这样的在证书过期前发送多个提醒的监控工具. 许多证书签发者也提供了一个设置自动更新的机会.

但如果你最终还是有过期的网站安全证书,如何修复? 您需要手动更新您的证书或购买新的证书 。 这一过程经过若干步骤:

• ** 选择某种证书**。 大多数发布部门为从内部网络到大型网站的不同需求提供了几种选择。 如果您正在更新您的证书, 并且不想切换到其它类型( 例如, 在网站添加子域时切换到“ Wildcard” 证书是有意义的 ) , 此步骤不适用 。 在购买证书时,要注意网上出售的伪造证书会给您的网站带来安全风险. 购买前先了解发行商. 可以设置 CAA 记录以避免不可靠的证书权限. 你可以信任的一些CA包括Digicert,GlobalSign,Scigo,Thawte.
• 发出证书签署请求(CSR)**。 您需要从您的主机供应商生成 CSR 。 这一过程相当简单,但因网站主机而异。 因此,您将有一个 CRS 上传到您的 SSL/ TLS 提供者, 和一个私人密钥文件, 以定位您正在使用的 OS 。
• ** 启用和验证证书。 您需要通过电子邮件、 CNAME 记录或验证文件确认您的域名 。 这个过程也取决于提供者,这样您就可以用您的网络主机检查细节.
  ** 核查。 在您安装证书后, 请检查 SSL/ TLS 是否正确 。 以下是在线检查工具的例子:

如果您此时正在切换到HTTPS, 而这是证书首次安装, 您需要将网站的HTTP流量重定向到其HTTPS版本, 并将安全版本添加到网页主工具中 。 在将网站移至HTTPS时,

为了避免将来证书过期, 不要忽略过期通知,

2. 非活动证书

当浏览器收到尚未生效的 SSL 证书时, SSL 连接出错 。 如今,使用证书管理器处理服务器证书很常见. 管理人员自动部署新的证书,有效期从部署时开始。 然而,如果客户机的时钟由于配置错误或其他因素而落后5分钟,客户会拒绝证书. API客户机的时钟不同步, SSL 错误使您无法在您的网站和用户浏览器之间建立安全连接,这可能会令人失望。

如何处理不活动证书问题

为避免部署尚未运行的证书,在将证书部署到服务器前,先验证有效性启动时间. 另外,在使用证书管理器管理您的证书时,确保您收到有关证书变更的通知以及新证书的细节.

确保通过确认所有中间证书和根证书均在服务器上正确安装来验证证书链. 如果缺少任何中间证书或安装错误,可能导致不活动证书错误.

要验证您的证书是否正确且有效, 请使用在线 SSL/ TLS 证书验证工具, 如 SSL Checker 或 Digicert 。

3⁄4 ̄ ̧漯B 已撤销的证书

此 SSL 错误发生在您网站上安装的 SSL/ TLS 证书在到期日之前已被 \ \ perfecution 管理局 失效 。 这通常是出于安全考虑或证书所有人的要求。

证书管理局维持一份被撤销证书的清单。 当证书的私密密钥显示已失密的迹象时,或者当它所发行的域不再运行时,证书将被撤销.

当客户端试图启动与服务器的连接时,它会检查证书中的问题,这一检查的一部分是确保证书不在_证书撤销列表(CRL)_. 如果CRL中存在您链中的任何证书,浏览器会拒绝它们. 每个浏览器都有不同的机制来验证每个证书的撤销状态.

如何修复被撤销的证书

您可以通过人工检查证书的撤销状态。

点击浏览器地址栏的锁开始 。 跳转到_Details_区域并选择_CRL发行点_选项.

下载 CA 的 CRL 。 然后通过 CRL 搜索证书的序列号,

您可使用 CRL 的序列号查询发证的 CA 的 OCSP 服务器,而不是在 CRL 中下载一个可能的大型被撤销证书列表。 这将促进答复,表明证书是否已被撤销。 如果您尚未使用此方法, 请阅读此操作 OCSP 响应器的指南 。

如果你的证书被吊销, 您需要获得新的证书 。 联系您的证书提供者或签发的 CA 请求替换证书 。 他们将协助您生成新的证书签名请求(CSR)并获取新的SSL/TLS证书.

四. 未经信任的证书授权

这种特定的SSL证书错误通常发生在CA不被广泛承认,或者客户端的信托商店缺乏必要的根或中间证书时. 在建立SSL Trust链的过程中,如果浏览器找不到任何本地信任的根证书,它将不会信任服务器的证书. 这个问题在使用自签名证书时也可能出现,因为浏览器无法信任他们.

如何解决不可信证书授权问题

为了避免 TLS 错误, 请首先确保您正在从可靠的证书权威处购买您的证书 。 值得信赖的 CA, 如Lets Encrypt, DigiCert, 或Comodo, 更可能被列入大多数网页浏览器和设备的可信任 CA 列表 。

确保用于签名您的 SSL/ TLS 证书的 CA 证书有效且不过期 。 过期或被撤销的 CA 证书可能导致不信任的 CA 错误. 与 CA 验证 CA 证书以确认其有效性 。

在多个设备和不同的浏览器上测试您网站的 SSL/TLS 证书 。

如果未信任的 CA 错误持续存在, 请识别您 SSL/ TLS 证书所需的缺少的根或中间证书 。 从 CA 或文档中获取这些数字证书并安装在您的网络服务器上 。 确保证书链完整且配置适当 。

如果您想在您的网站上使用自签名的证书,您必须手动将证书添加到浏览器的信托商店中. 您可以引用此指南来学习如何将 CA 证书作为信任的根权威添加到 Chrome 和 Firefox 等中.

五. 安全协议过期

加密技术在过去几年里不断演变,安全风险和潜在的黑客攻击也一样. 这是SSL/TLS证书寿命周期缩短的原因之一,也是更新版本以及之前宣布的贬值和不安全的原因之一.

由于TLS是作为SSL(当时的3.0版本)的升级而引入的,所以任何TLS版本都比SSL更加安全. 最新的协议版本是TLS 1.3,于2018年发布:它有一个经过改进的密码算法,只需要一个回转就可以握手(这意味着浏览器可以更容易地连接到你的网站服务器).

从2020年开始,所有主要浏览器都会对使用TLS 1.0或1.1并阻止用户访问的网站显示警告. 有了这个,你可能想要使用当前 TLS 版本并禁用旧版本 。

如何解决过时的安全协议问题

有多种方法可以检查网站使用的协议版本:

• 在Chrome DevTools的_security_标签中:

• 在第三方检查中。 其中一部分将提供关于TLS和SSL版本被启用的信息:

要启用最新版本的 TLS, 请首先确保您的网站配置为使用 。 运行一个 SSL 服务器测试并检查结果中的 figulation 区域 :

然后,检查您的主机提供者,并学习您需要做什么才能启用最新的协议版本 。 一般情况下, 您需要在您的服务器配置文件中指定正确的协议 。

例如,如果您的网站运行在 Nginx 服务器上, 您就必须编辑 nginx 。 配置文件和指定您安装的 TLS 版本 。 添加升级的协议并禁用所有已贬值的版本 。 配置行将像这样 :

ssl_protocols TLSv1.2 TLSv1.3; 2.

如果发现您的网站不支持 TLS 1.2 或 1. 3, 您需要联系网页主机, 并可能升级到另一个计划 。

六. 证书名称不匹配

证书名称不匹配通常发生在SSL/TLS证书中的域名不匹配用户输入浏览器时. 用户会看到警告 :

如何修复证书名称不匹配问题

让我们看看这些SSL错误背后的原因,

• ** 您的网站正在通过一个内部域名** 访问,而该域名在证书中没有指定(例如您输入_您的网站. localhost_, 但您的证书只有_您的网站. com_) 。 要修补此 SSL 错误, 请获得 SAN( subject 替代名称) 证书, 允许您在单一证书下包含多个主机名 。
• ** 可以使用或不使用“www”评估您的网站,** 但证书只有一个指定域名。 重要的是决定是否使用带有域名的“www”,将所有流量转发到一个选定的版本,并根据选定的版本获得SSL/TLS证书(是否有“www”)。 在www和非www域名上的文章中,我们更详细地说明这如何影响你的机会均等组织。 与 SANs 证书也是这里的一个解决方案.
• ** 您的网站与其他人共享IP地址**,没有单独的协议. 大多数资源不需要专用IP(除非他们发了很多电子邮件), 如果您有共享的 IP, 您需要在协议的扩展名为 SNI( Server Name Indexation) 中显示您的域名 。 使用 SNI ,服务器将选择一个给定主机名独有的 TLS 证书和一个对应的私人密钥,而不是在多个站点共享默认证书.
• ** 您的网站主机提供商已预设了设置** , 强制在您的域名上设置 SSL/ TLS 。 要解决这个问题,您需要联系提供者,让他们用您的证书替换他们的证书,或者考虑切换到另一个提供者.

您可以在一个在线检查工具中验证您 SSL/ TLS 证书保护的域名 。 例如:

七. 过时的加密算法

当一个用户访问一个网站时,他们的浏览器通过一个叫做握手的过程认证了TLS证书. Cipher套件,是加密每个连接的算法,在这个过程的开始阶段发挥着关键作用:浏览器通信其所支持的Cipher套件,服务器响应最安全的套件. 如果服务器配置的密码套件不够安全, 浏览器会发出“ 过时加密” 警告 。

一个密码套件包括几个密码,每个密码代表一定的密码功能. 在TLS 1.3之前,最好的推荐组合包括四个密码:

• 服务器和浏览器之间 键交换 的算法( ECDHE)
• 有助于认证证书(ECDSA)的数字签名
• 安全数据传输密码**(AES-256-GCM)
• 消息认证的算法(SHA384)

TLS 1. 3 密码套件只包含后两个密码——这个版本不支持过时的密钥交换和默认认证算法. 虽然TLS 1.2仍然可以用于安全连接,但这个版本所接受的密码在质量上各有不同,这可能导致易受网络攻击. 随着最新版本的TLS,你得到的密码变异性更少,整个握手过程会更快,更简单,更安全.

如何修复过时的加密算法问题

您需要确定您没有使用过时的密码算法 。 为了了解您服务器上启用的密码套件, 您可以在线运行 SSL/ TLS 服务器测试 :

如果您发现您的 TLS 仍然支持弱密码, 您需要在服务器配置中禁用它们 。 设置密码顺序偏好也有意义, 以表示浏览器在连接您的网站时会优先排序 。 为此,首先检查密码和密码字符串的安全等级.

八. 通用 SSL/TLS 协议错误

此错误通常表示客户端和服务器之间与SSL/TLS握手进程存在问题. 这实质上意味着客户端或服务器不能建立安全公约. 这可能出于各种原因,如配置错误的SSL/TLS设置,过时的软件,浏览器相关问题,设备上错误的日期或时间,内容交付网络(CDN)的问题等等.

** 如何修正通用 TLS/SSL 握手错误* 页:1

以下是可以用来排除和解决这些 TLS 错误的一些步骤:

开始验证您的加密算法是否更新 。 例如,最初由国家安全局制定的SHA-1加密标准自2005年以来就被认为已经过时。 虽然广泛用于SSL证书加密,但现在被认为不安全. 这就是为什么您的浏览器可能不信任使用此加密的 SSL 证书 。 考虑更新您的证书或获取新的证书解决这个问题。 在上一节中,我们就如何实现这一目标提供了指示。

下一个,确认您的服务器和客户端被配置为使用兼容的加密算法. 过时或弱算法可能导致TLS握手错误. 例如,确保您的服务器支持现代密码套件,并且已经禁用像SSL 2.0和SSL 3.0这样的已贬值和不安全的协议. 我们在上一节详细叙述了这一点。

** 请注意:** 这种错误经常发生在客户端侧面,例如当用户设备上的系统日期和时间不正确,浏览器扩展或加载干扰SSL/TLS连接,或者用户有过时的浏览器设置.

升级您的网站安全

保护网站免受网络攻击和数据曝光的主要方面之一是适当的SSL/TLS配置和管理。 我们建议您更新最新的 TLS 版本, 设置证书过期日期的提醒, 启用最安全的密码, 并定期扫描您的协议 。 网络威胁不断演变,确保您能跟踪用户如何安全连接到您的网站.

Daria是SE Ranking的SEO和内容营销专家. 她的兴趣横跨着SEO和数字营销. 她喜欢用简单的语言描述复杂的事物. 在她的空闲时间里,达里亚享受了环游世界,学习摄影艺术,参观美术馆.